Vereinbarung über zweckgebundene Auftragsdatenverarbeitung


zwischen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(als Verantwortlicher i.S.d. DSGVO)
und MPK Systems Ltd, Davoser Str. 1g, D-14199 Berlin
(als Auftragsverarbeiter):

1. Gegenstand und Dauer der Vereinbarung

a) Beds24 (nachfolgend bezeichnet als „Auftragnehmer“) stellt Beherbergungsbetrieben (nachfolgend bezeichnet als „Auftraggeber“) im Rahmen einer gesondert geschlossenen Vereinbarung Dienstleistungen in Form eines „Software-as-a-Service“-Angebots zur Verfügung.

Die vertraglich vereinbarten Software-Dienstleistungen ermöglichen dem Auftraggeber, Buchungen seiner Gäste (nachfolgend bezeichnet als „Gäste oder Gast“) über die eigene Website oder über Portale von Drittanbietern zu generieren, zu verwalten und ggf. damit verbundene weitere Datenverarbeitungsprozesse zu steuern.

In Erfüllung seiner vertraglichen Verpflichtung als Anbieter des „Software-as-a-Service“-Angebots verarbeitet der Auftragnehmer personenbezogene Daten für den Auftraggeber nach Art. 4 Nr. 2 und Art. 28 DSGVO gemäß den nachfolgenden Bestimmungen.

b) Die Bestimmungen dieser Vereinbarung werden wirksam, mit Abschluss der Nutzungsvereinbarung über Beds24. Ihre Wirksamkeit endet mit der Beendigung der Nutzungsvereinbarung.

2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen:

a) Die vertraglich vereinbarte Datenverarbeitung ist notwendig, um dem Auftraggeber das vertraglich vorausgesetzte System zur Verfügung zu stellen und dessen Gästen Buchungen zu ermöglichen.

b) Verarbeitet werden Daten von Gästen, die über den Auftraggeber Buchungen tätigen oder deren Buchungen der Auftraggeber selbst veranlasst oder die durch Dritte Parteien getätigt werden.

c) Erfasst werden hierzu die zur Buchungsbearbeitung erforderlichen Informationen wie:

  • Bestandsdaten (z.B., Namen der reisenden Personen, Adressen).
  • Angaben zur Buchungsidentifikation (Buchungsnummer etc.).
  • Angaben zum Buchungszeitpunkt.
  • Angaben zum Buchungsinhalt (Ankunfts- und Abreisedatum, Buchungsobjekt etc.).
  • Kontaktdaten (z.B., E-Mail, Telefonnummern).
  • Rechungsinformationen.
  • Zahlungsinformationen.
  • Meta-/Kommunikationsdaten (z.B., Geräte-Informationen, IP-Adressen).
  • Informationen zu Präferenzen, die Gäste bezüglich Ihres Aufenthalts haben könnten.

3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

a) Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle Anfragen, die er dazu erhält, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.

b) Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen. Gemeinsam vereinbarte Änderungen und einseitige Weisungen des Auftraggebers sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

c) Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

d) Der Auftraggeber ist berechtigt, sich wie unter Ziff. 5 festgelegt vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in dieser Vereinbarung festgelegten Verpflichtungen zu überzeugen. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

e) Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

4. Weisungsberechtigte des Auftraggebers, Weisungsempfänger des Auftragnehmers

Weisungsempfänger des Auftragnehmers sind:

Mark Kinchin, c/o MPK Systems LTD, Davoser Str. 1g, D-14199 Berlin

Für Weisungen zu nutzende Kommunikationskanäle:

[email protected]

Der Auftraggeber hat die Angaben zur weisungsberechtigten Person stets aktuell zu halten. Soweit nicht ausdrücklich anderes vereinbart ist, gilt die im Beds24 Control Panel unter KONFIGURATION-BENUTZERKONTO angegebene Person als befugt, Weisungen im Rahmen dieser Vereinbarung zu erteilen und Mitteilungen des Auftragnehmers über den dort angegebenen Kommunikationsweg entgegen zu nehmen.

5. Pflichten des Auftragnehmers

a) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).

b) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

c) Der Auftragnehmer verarbeitet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen als die vertraglich vorausgesetzten Zwecke, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten wird ohne Wissen des Auftraggebers nicht erstellen.

d) Der Auftraggeber bleibt für die Erfüllung der gesetzlichen Verpflichtungen, die sich aus der DSGVO und dem BDSG ergeben, allein verantwortlich. Der Auftragnehmer wird jedoch – soweit ihm zumutbar – dem Auftraggeber Hilfestellung leisten insbesondere bei:

  • der Erfüllung der Rechte betroffener Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber,
  • der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten,
  • ggf. erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers.

e) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der Weisung solange auszusetzen, bis sie durch den Verantwortlichen des Auftraggebers nach Überprüfung bestätigt oder geändert wird.

f) Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis darf der Auftragnehmer an Dritte oder den Betroffenen nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

g) Der Auftraggeber ist - nach Terminvereinbarung - berechtigt, die Einhaltung der gesetzlichen Bestimmungen über Datenschutz und Datensicherheit sowie der zwischen den Parteien getroffenen vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch von ihm beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO).

h) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese Verpflichtung besteht auch nach Beendigung des Vertrages fort.

i) Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden gesetzlichen Datenschutzbestimmungen vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS¬GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

6. Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DSGVO)

a) Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer nur mit Genehmigung des Auftraggebers gestattet, Art. 28 Abs. 2 DSGVO. Die Genehmigung muss auf einem der o. g. Kommunikationswege (Ziff. 4) schriftlich oder in einem elektronischen Format nach Art. 29 und Art. 32 Abs. 4 DSGVO erfolgen.

b) Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

c) Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DSGVO). Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DSGVO bezüglich seiner Beschäftigten erfüllt hat.

d) Zurzeit sind für den Auftragnehmer als Subunternehmer mit der Verarbeitung von personenbezogenen Daten tätig:

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland
Registergericht Ansbach, HRB 3204 USt-Id Nr. DE 812871812

Die durch die Hetzner Online GmbH erbrachte Teilleistung ist das Hosting der Server an Standorten in der Bundesrepublik Deutschland.

7. Mitteilungspflichten des Auftragnehmers

Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen oder seiner Subunternehmer gegen datenschutzrechtliche Bestimmungen oder die in dieser Vereinbarung getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt auch im Hin¬blick auf mögliche Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO.

8. Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Art. 28 Abs. 3 Satz 2 lit. c DSGVO)

Im Rahmen der vereinbarten Auftragsverarbeitung ist ein Schutzniveau zu gewährleisten, dass dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessen ist. Der Auftragnehmer hat deshalb bei gegebenem Anlass, mindestens aber jährlich, eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art. 32 Abs. 1 lit. d DSGVOs).

Das Ergebnis samt vollständigem Auditbericht ist dem Auftraggeber auf Anfrage mitzuteilen. Soweit die beim Auftragnehmer getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftragnehmer unverzüglich.

Die Maßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten. Wesentliche Änderungen muss der Auftragnehmer mit dem Auftraggeber in dokumentierter Form (schriftlich, elektronisch) abstimmen.

9. Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DSGVO

Nach Beendigung des Auftrags zur Datenbearbeitung hat der Auftragnehmer sämtliche in seinen Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber zur Verfügung zu stellen oder auf dessen Weisung zu löschen.

10. Haftung

Etwaige Haftungsansprüche, die sich aus der Verletzung dieser Vereinbarung ergeben, richten sich nach den Bestimmungen der Leistungsvereinbarung zum „Software-as-a-Service“-Angebot des Auftragnehmers.

11. Sonstiges

Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.